Webサイトのセキュリティ対策として、サイトの常時HTTPS化とともに進められているのがEV SSL証明書の使用である。こちらは、フィッシングサイト対策に有効とされている。Webサイトにアクセスする利用者側としては、どのように対応すればよいのであろうか。
記事の目次
電子証明書の役割
Webサイト用の電子証明書には、以下の役割があるとされている。
- 通信の暗号化と通信内容の改ざんの防止
- サイト運営者の身元証明
通信の暗号化と通信内容の改ざんの防止だけであれば、認証局が発行した証明書を使用する必要はなく、極端に言えばサイト自身が発行した証明書でも実現可能である。なぜ、費用がかかる認証局が発行した証明書を使用するのかといえば、認証局によりWebサイトの運営者の実在性が確認された上で発行された証明書を使用した正しいWebサイトであることを利用者に示すためである。利用者からすれば、実在する運営者による正しいサイトであることの確認を、EV SSL証明書を通して行っていることになる。インターネットの世界においては、実際に自分の目で物理的な実態としてサイトの正しさを確認することができないのである。
証明書の種類とEV SSL証明書
WebサイトをHTTPS化するために使用される電子証明書には、以下の3種類がある。
- ドメイン認証により発行される証明書(DV SSL証明書):一般的に個人が使用
- 実在証明により発行される証明書(OV SSL証明書):一般的に会社等組織が使用
- 標準化された厳格な実在証明により発行される証明書(EV SSL証明書):一般的に会社等組織が使用
どの証明書も通信を暗号化するための暗号化強度など機能面は変わらないが、認証局がどれだけコストをかけてWebサイト運営者の実在性の確認しているかが異なり、EV SSL証明書>OV SSL証明書>DV SSL証明書の順に高価になる。EV SSL証明書が誕生した経緯としては、OV SSL証明書でサイト運営者の実在性の確認が不十分な状態で発行された証明書が存在することが判明したことによる。実際に最近では、URLを含めて有名会社の本物のサイトと見た目ではほとんど区別できないフィッシングサイトが登場し、電子証明書を使用したHTTPSを使用するサイトであったとのことである。
EV SSL証明書を使用したサイトの識別方法
Webサイトの利用者は、どのようにしてそのサイトがEV SSLを証明書を使用しているかを確認したらよいのだろうか。一般的には、EV SSL証明書を使用したサイトにアクセスするとアドレスバーが緑色に変わるとされている。実は、この仕様は使用しているブラウザで表示の仕方が異なるので、使用するブラウザごとに調べる必要がある。特にモバイル端末は判別しにくく、Androidでは証明書の情報を見ないと判別できないケースも存在する。そもそも、EV SSL証明書であるだけで、URLや証明書の内容をよく確認せずに、正しいサイトと判断するのも安易すぎるのではないだろうか。
フィッシングサイトではないことの確認方法
では、どのようにして確認する手段を整えればよいのであろうか。
- サイトのURLが運営者から提供された正しいURLであること。(フィッシングメールに要注意)
- 一度アクセスしたURLや証明書情報を控えておき、比較し相違がないこと。
- 電子証明書の情報を確認し、信頼のある認証局から正しいサイト運営者に発行された証明書であること。
少しでも不審な点があった場合は、インターネット検索を含めても良いので、URLや運営者名などサイト関連情報の変更がないか、認証局を変えていないか、フィッシング被害の情報がないかなど調査し、場合によってはサイト運営者に直接確認することが必要になる。
電子証明書の内容確認方法の課題
フィッシングサイトでないかを確認するためには、基本的にはURLを確認することが第一である。ただし、似ているURLは見誤る可能性もあるし、そもそも最初に正しいURLをどのような手段で知るのかという問題もあり、そのために電子証明書の確認が役立つはずであるが、その確認方法は容易ではない。以下に電子証明書によるWebサイトの確認方法の課題を挙げておく。
- EV SSL証明書であることの確認方法がブラウザ毎に異なり、更には証明書の情報を見ないと分からないケースも存在する。
- EV SSL証明書であるかは、ブラウザのアドレスバー等を確認する以外に、EV SSL用の中間証明書から発行された証明書であるかで判断可能であるが、そもそもEV SSL用の中間証明書の確認が難しい。
- EV SSL証明書であっても、正しい発行先であるかは、電子証明書の発行先の組織の情報を確認する必要があるが、正しい証明書の内容まで提示しているサイトの運営者は少ない。また、組織情報など記述はすべて英語名になるため、日本人にはわかりにくい。
- サイトの運営者は、URLの変更は一般に事前に通知を行うが、認証局の変更は通知しない。
- EV SSL証明書の信頼性は、認証局の信頼性と実在性の確認の厳格さに依存するが、本当にOV SSL証明書の二の舞いになることがないのかまだわからない。
総括
EV SSL証明書の登場により、実在証明が強化されることは、フィッシングサイトを防ぐ上で重要であると思う。利用者の側としては、長く利用され広く公開されているURLは、EV SSL証明書が使用されていなくてもサイトとして信用すると思われる。利用する側としては、EV SSL証明書であるかないかだけではなく、正しいURLであることを確認する手段を整えることが重要である。
